使用以下方法配置应用层(第 7 层)DDoS 保护 Amazon WAF - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用以下方法配置应用层(第 7 层)DDoS 保护 Amazon WAF

为了保护应用层资源,Shield Advanced 使用带有基于速率的规则的 Amazon WAF Web ACL 作为起点。 Amazon WAF 是一种 Web 应用程序防火墙,允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求,并允许您根据请求的特征控制对内容的访问权限。基于速率的规则根据您的请求聚合条件限制流量,从而为您的应用程序提供基本的 DDoS 保护。有关更多信息,请参阅 如何 Amazon WAF 运作基于速率的规则语句

您还可以选择启用 Shield Advanced 自动应用层 DDoS 缓解功能,以允许来自已知 DDoS 源的 Shield Advanced 速率限制请求,并自动为您提供特定于事件的保护。

重要

如果您通过 Amazon Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护,则无法在此处管理应用层保护。必须在 Firewall Manager Shield Advanced 策略中对其进行管理。

承保 Amazon WAF 费用

您的 Shield Advanced 订阅可支付使用标准 Amazon WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 Amazon WAF 费用包括每个 Web ACL 的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 个 WCU,不超过默认主体尺寸。

你对 Shield Advanced 的 Amazon WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 Amazon WAF 成本。非标准 Amazon WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用超过 1,500 个 WCU 的 Web ACL 以及检查超出默认正文大小的请求正文。完整列表在 Amazon WAF 定价页面上提供。

有关完整信息和定价示例,请参阅 Shield 定价Amazon WAF 定价

为某个区域配置第 7 层 DDoS 保护

Shield Advanced 允许您选择性地为所选资源所在的每个区域配置第 7 层 DDoS 缓解措施。如果您要在多个区域添加保护,则向导将引导您完成每个区域的以下步骤。

  1. 配置第 7 层 DDoS 保护页面列出了所有尚未与 Web ACL 关联的资源。对于每个资源,您可以选择现有 Web ACL,活着创建一个新的 Web ACL。对于任何已经关联的 Web ACL 的资源,您可以先通过取消关联当前的 Web ACL 来更改 Web ACL。 Amazon WAF有关更多信息,请参阅将 Web ACL 与资源关联或取消关联 Amazon

    对于还没有基于速率的规则的 Web ACL,配置向导会提示您添加一个规则。当 IP 地址发送大量请求时,基于速率的规则会限制来自这些地址的流量。基于速率的规则有助于保护您的应用程序免受 Web 请求泛洪的侵害,并可以提供有关流量突然激增的警报,提示您可能存在 DDoS 攻击。选择添加速率限制规则,然后提供速率限制和规则操作,将基于速率的规则添加到 Web ACL。您可以通过在 Web ACL 中配置其他保护 Amazon WAF。

    有关在 Shield Advanced 保护中使用 Web ACL 和基于速率的规则(包括基于速率的规则的其他配置选项)的信息,请参阅 Shield 高级应用层 Amazon WAF Web ACL 和基于速率的规则

  2. 对于自动应用层 DDoS 缓解,如果您想让 Shield Advanced 自动缓解针对您的应用层资源的 DDoS 攻击,请选择 “启用”,然后选择希望 Shield Advanced 在其自定义 Amazon WAF 规则中使用的规则操作。此设置适用于您在向导会话中管理的资源的所有 Web ACL。

    通过自动应用层 DDoS 缓解,Shield Advanced 在资源的 Amazon WAF Web ACL 中维护了基于速率的规则,该规则限制了来自已知 DDoS 来源的请求量。此外,Shield Advanced 将当前流量模式与历史流量基线进行比较,以检测可能表明 DDoS 攻击的偏差。当 Shield Advanced 检测到 DDoS 攻击时,它会通过创建、评估和部署自定义 Amazon WAF 规则来做出响应。您可以指定自定义规则是计数还是代表您阻止攻击。

    注意

    自动应用层 DDoS 缓解仅适用于使用最新版本 Amazon WAF (v2) 创建的 Web ACL。

    有关 Shield Advanced 应用程序层 DDoS 自动缓解的更多信息,请参阅 Shield Advanced 应用程序层 DDoS 自动缓解

  3. 选择下一步。控制台向导将进入运行状况检测页面。